Viviamo un momento storico geopolitico in cui gli aspetti cybersecurity crescono di rilevanza. Ma il tutto avviene in uno scenario complesso, fluido, dove la risposta al fenomeno da parte degli organismi internazionali sembra ancora poco chiara e ambivalente.
Un indizio della situazione in atto: mentre c’è un’accelerazione di rischi e minacce a tutti i livelli, è sempre maggiore la difficoltà di attribuzione degli attacchi. I tempi diventano sempre più lunghi.
Nel caso dell’attacco nord coreano al Bangladesh (2016) e della sottrazione di 84 milioni di dollari a Sony (2014) l’attribuzione è stata veloce. In altri casi più recenti – con attribuzione a russi, iraniani, c’è voluto più tempo. Per esempio negli attacchi agli ospedali inglesi. E ancora più tempo c’è voluto finché gli Usa ne riconoscessero l’origine.
Le due direttrici
Attualmente l’approccio della comunità internazionale, in particolare delle organizzazioni internazionali, alla cyber security segue due direttrici che vanno di pari passo e non possono prescindere l’una dall’altra: da una parte troviamo lo sviluppo di norme di Confidence Building, portate avanti prettamente in sede OSCE (Organizzazione per la Sicurezza e la Cooperazione in Europa), dall’altra pende la dibattuta questione dell’applicabilità del diritto internazionale allo spazio cibernetico.
Se le Confidence Building Measures (CBMs) hanno il delicato compito di delineare i modi, le forme ed i limiti dell’azione dello Stato, e sono quindi funzionali allo sviluppo e all’implementazione delle tecnologie informatiche e al rafforzarsi dei rapporti con il settore privato ed i cittadini, il diritto internazionale ha come fine il mantenimento della pace e della sicurezza internazionale, anche in uno spazio peculiare come quello cibernetico che è stato riconosciuto come il dominio nel quale stanno emergendo nuove forme di conflitti.
L’applicabilità generale del diritto internazionale al cyber space è stata riconosciuta sia in sede ONU, grazie ai lavori dell’UNGGE supportato dal UNIDR, sia in sede G7, ma restano alcuni punti fondamentali da chiarire a riguardo, che hanno diviso la comunità internazionale soprattutto in sede ONU portando alla mancata ratifica dell’ultimo report dell’UNGGE. I punti dibattuti riguardano la questione del diritto di agire in self defence, la possibilità di applicare contromisure e l’applicabilità dello ius in bello. Alcuni stati, come Cuba Russia e Cina, non riconoscono l’applicabilità del diritto internazionale in questi frangenti; la ragione è da ritrovare prettamente in motivazioni politiche.
D’altra parte c’è anche il problema che i lavori nelle Nazioni Unite in questa materia sono in una fase spenta. Al G7 l’Italia ha fatto un ottimo lavoro, con gli altri sei partner, per ottenere almeno il riconoscimento dell’applicabilità del diritto internazionale in questa materia. Ma è stata una dichiarazione politica molto generale. La strategia americana- la National defence strategy- inserisce il rischio cyber persino nei tipi di minaccia che possono avere una risposta con armi nucleari, di distruzione di massa.
Lo si dice ancora non cautela ma questo è un elemento nuovo. Anche se questa attenzione al cyber, alla quinta dimensione della sicurezza, era emersa già al vertice di Varsavia alla Nato di due anni fa e ribadita ripetutamente negli ultimi documenti atlantici.
Nel frattempo questi elementi diventano sempre più rilevanti nei documenti nazionale e multilaterali, di alleanza tra Stati. e lo diventano anche da parte russa. La dottrina Gerasimov, della Federazione Russa già dal 2013 riconosce che le forze armate non sono più costrette ad affrontarsi direttamente; il fattore cyber consente un’azione all’interno dei Paesi ostili.
Si entra in una nuova dimensione Difesa che resta collegata alla protezione dei dati e del Paese nel suo insieme.
Ultimo tassello: nel trattato dell’Eliseo bis, che si sta rinegoziando tra Berlino e Parigi, la sicurezza digitale è tra i primissimi punti. Nell’ultimo anno, dopo l’attacco alla convention democratico a Washington, la collaborazione tra Parigi e Berlino è diventata molto ampia in questa materia.
Crescente attenzione, quindi, da parte degli Stati, ma ancora nell’attesa che si delinei a fondo una strategia complessiva e coordinata.
I prossimi passi
Io credo che la strategia migliore sia continuare in un’ottica multilaterale, cercando di far fronte alle difficoltà normative poste non solo dall’atteggiamento degli Stati, ma dalle peculiari caratteristiche della materia in sé. Lo spazio cibernetico infatti risulta difficilmente regolamentabile di per sé a causa della sua continua evoluzione, del problema di de-territorialità che pone a causa della sua mancanza di confini e della varietà di attori che coinvolge. Come negli ultimi decenni il diritto internazionale si è sviluppato in nuove aree, ad esempio l’ambiente con lo sviluppo del diritto internazionale ambientale, cresce sempre più la necessità di trovare una declinazione adatta allo spazio cibernetico.
Affinché si realizzi quanto sopra, c’è bisogno che i fora multilaterali acquisiscano, o meglio ri- acquisiscano, peso ed importanza in modo che si sviluppi un’effettiva struttura di governance interstatale in materia. Nonostante i lavori in sede ONU siano attualmente in stallo, molte sono le iniziative in atto, portate avanti a livello regionale o proposte da attori privati.
In Europa, l’Unione Europea, con un approccio top down, ha condotto numerose iniziative a partire dalla Cyber Security Strategy del 2013, rivista nel 2017, che ha posto le basi per lo sviluppo di un’iniziale quadro normativo di riferimento a difesa dei singoli cittadini – grazie al Regolamento sulla Protezione Generale dei Dati (GDPR)- e degli Stati Membri e dell’organizzazione stessa, soprattutto per quanto riguarda le infrastrutture critiche- grazia alla Direttiva sulle Reti e l’Informazione (NIS Directive).
Sul piano privato, Microsoft sta portando avanti la proposta di una Convenzione Digitale di Ginevra che protegga i civili da attacchi cibernetici portati avanti da Stati in tempi di pace, visto quanto accaduto nel 2014 ad opera, come sembra, della Corea del Nord in Bangladesh. Peculiarità di quest’iniziativa è il ruolo primario svolto dalle imprese che dovrebbero fungere da attore neutrale (Svizzera Digitale) in grado di fornire aiuto e protezione.
Un buon punto di partenza per sviluppare un quadro normativo internazionale di riferimento potrebbe essere partire da queste iniziative e svilupparle su scala regionale, per avere successivamente una base più solida e collaudata su cui lavorare in sede ONU.
Il ruolo dell’Italia
L’Italia si è già fatta promotrice dello sviluppo di questa materia, dando concretezza al lavoro dell’Ise Shima Working Group in sede G7. Sin dall’inizio dell’attuale Presidenza OSCE, il paese ha riconosciuto la cyber security come una priorità, quindi è fondamentale il ruolo che giocherà in quest’anno per quanto riguarda l’ulteriore sviluppo ed il rafforzamento delle CBMs. Rispetto al quadro europeo, l’Italia deve trovarsi preparata al momento dell’entrata in vigore dei provvedimenti citati e deve dotarsi di una cyber security strategy strutturata e coerente che le permetta non solo di far fronte ai rischi posti dalla complessità della materia, ma soprattutto di giocare il ruolo che deve avere per promuovere i propri interessi nazionali e la sicurezza degli italiani.
–
Giulio Terzi di Sant’Agata è stato ministro degli Esteri, ambasciatore in Israele e rappresentante italiano all’Onu. Di recente ha co-fondato Cse Cybsec Enterprise
